Blockchain vs protección de datos


La aparición de la tecnología blockchain ha provocado multitud de interrogantes sobre aspectos jurídicos, entre los cuales cómo afectaría la normativa sobre protección de datos y, más concretamente, en lo relativo a los derechos de rectificación y cancelación de los datos personales

La tecnología blockchain está revolucionando muchos sectores y actividades por los cambios que supone su aplicación en el ámbito de las transacciones electrónicas y de la gestión de procesos, eliminando intermediarios y reduciendo costes. Esta tecnología está basada en dos principios básicos: la inmutabilidad y la trazabilidad de los datos.

La tecnología blockchain está basada en dos principios básicos: la inmutabilidad y la trazabilidad de los datos

Explicar cómo funciona blockchain no es tarea fácil para los no tecnólogos, pero básicamente consiste en convertir transacciones electrónicas en cadenas alfanuméricas que se almacenan en bloques de datos que pueden ser del mismo tamaño o no. La particularidad de esta tecnología es que cada bloque contiene a su vez una referencia al bloque de la transacción anterior, de manera que estos se unen formando una cadena de bloques o “blockchain”, lo cual permite mantener su seguridad ya que la modificación de un bloque sería rápidamente dectectable.

Como en todo avance técnico, la aparición de blockchain ha provocado multitud de interrogantes sobre aspectos jurídicos de diversa índole, entre los cuales cómo afectaría la normativa sobre protección de datos a las aplicaciones basadas en esta tecnología y, más concretamente, en lo relativo a los derechos de rectificación y cancelación de los datos personales. En principio, si por definición técnica los datos que se almacenan en una blockchain se califican de inmutables, no parece posible que se puedan ejercer tales derechos en ningún caso.

Ahora bien, si analizamos el funcionamiento de blockchain, resulta que en los bloques se pueden almacenar directamente los datos o también, por ejemplo, códigos alfanuméricos obtenidos mediante una función “hash”. La función “hash” o función resumen transforma mediante un algoritmo cadenas de texto comprensibles en cadenas alfanuméricas ininteligibles de la misma longitud, cuyo resultado es irreversible.

Además, se pueden añadir claves o saltos que permiten proteger la datos almacenados, de modo que sólo aquellos que los conocen pueden acceder a los mismos. De este modo, los datos pueden acabar convertidos en códigos ininteligibles y protegidos.

Si se entiende que en una blockchain sólo se almacenan códigos alfanuméricos sin sentido, en lugar de datos personales, entonces la conclusión sería que a las cadenas de bloques en estos casos no les es de aplicación la normativa de protección de datos de carácter personal

Llegados a este punto, si se entiende que en una blockchain sólo se almacenan códigos alfanuméricos sin sentido, en lugar de datos personales, entonces la conclusión sería que a las cadenas de bloques en estos casos no les es de aplicación la normativa de protección de datos de carácter personal, dado que no almacenarían directamente este tipo de datos.

En cambio, cuando se almacenan datos, ya sea protegidos con alguna clave o no, estos datos serán accesibles bien directamente o bien conociendo dicha clave. En este caso, sí sería necesario encontrar alguna solución técnica que permitiera dar cumplimiento a los derechos señalados y, a la vez, que respetase el principio básico de inmutabilidad.

En este sentido, el uso de identificadores referenciados a bases de datos externas podría ser una solución. Es decir, en lugar de incorporar datos personales en las cadenas de textos, se podrían usar identificadores que apuntarían a datos almacenados en un registro o base de datos externa, fuera de la blockchain, gestionada por una entidad de registro que autenticaría a los sujetos. Sólo las personas autorizadas tendrían acceso a los datos personales referenciados por los identificadores.

De este modo, en primer lugar, cuando se accediera a los datos almacenados en los bloques sólo se obtendrían los identificadores, de modo que únicamente las personas autorizadas tendrían acceso directo a los datos personales. Y, en segundo lugar, las solicitudes de rectificación o cancelación no se tendrían que ejecutar sobre los bloques de las cadenas sino sobre las bases de datos externas, lo que supondría no tener que alterar el contenido de dichos bloques respetando su inmutabilidad.

No obstante, esta solución no es del agrado de los tecnólogos ya que consideran que la implementación de la misma desnaturalizaría el motivo por el qué usar una blockchain, esto es, facilitar las transacciones electrónicas sin necesitar intermediarios ni terceros que aporten confianza, de manera que con esta solución se ganaría en seguridad jurídica pero se perdería en agilidad y costes, precisamente lo que proporciona el uso de las cadenas de bloques.

Sin embargo, en lugar de usar bases de datos externas que contengan los datos personales, también existe la posibilidad de utilizar una identidad digital auto-soberana, conocida como SSID. Esta solución consiste en utilizar un identificador digital generado por uno mismo (por ejemplo una dirección URL) que relaciona un sujeto con sus datos personales almacenados de forma distribuida y protegidos mediante una clave pública descentralizada, de modo que es posible autenticar al sujeto y conocer sus datos personales sin necesidad de acudir a entidades de registro externas. En cualquier caso, como los datos referenciados por la SSID se encontrarían fuera de la blockchain, esta otra solución también permitiría dar cumplimiento a la normativa de protección de datos, pero sin necesitar la intervención de terceros ni añadir costes adicionales a las transacciones.

Quizás lo más ventajoso sería establecer jurídicamente que la información que almacenan las cadenas de bloques no se considera en ningún caso como datos personales

En cualquier caso, y a la vista de las ventajas de la tecnología blockchain, quizás lo más ventajoso sería establecer jurídicamente que la información que almacenan las cadenas de bloques no se considera en ningún caso como datos personales, de manera que pueda utilizarse esta tecnología sin necesidad de tener que añadir soluciones técnicas artificiosas u otros elementos que alteren su naturaleza y funcionalidad.

Por último, es preciso recordar que es posible denegar los derechos de rectificación y cancelación de datos personales cuando exista la obligación de conservar tales datos, al margen de dónde estén almacenados. Dicha negativa tendrá efectos durante los plazos previstos en las propias relaciones contractuales o, en su caso, en las disposiciones que sean aplicables, como, por ejemplo, la Ley General Tributaria, que dispone un plazo de comprobación de 4 años, o la Ley de prevención de blanqueo de capitales, que establece un plazo de conservación de 10 años, todo ello con el fin de que las autoridades tributarias puedan realizar sus labores de revisión, inspección y lucha contra los delitos económicos.